Η ΑΗΚ πλήρωσε €235.000 σε χάκερ αντί τον εργολάβο

Οι ψηφιακές τρύπες στα συστήματα της ΑΗΚ, που διαπιστώθηκαν και από τον ίδιο τον εσωτερικό έλεγχο του οργανισμού και από την Ελεγκτική Υπηρεσία, με κερασάκι στην τούρτα την ψηφιακή απάτη με συνεργάτη του οργανισμού, κατά την οποία είναι ανοικτό το ενδεχόμενο να παραβιάστηκαν και τα συστήματα ηλεκτρονικών μηνυμάτων, είναι ένα από τα κυριότερα θέματα που αναδεικνύονται για πρώτη φορά μέσα από την έκθεση της Ελεγκτικής Υπηρεσίας για τον ημικρατικό οργανισμό. 

Όπως αναφέρεται, μεταξύ άλλων, σύμφωνα με την έκθεση αποτελεσμάτων του εσωτερικού ελέγχου του οργανισμού για το έτος 2017, λόγω του γεγονότος ότι ο εσωτερικός έλεγχος δεν διαθέτει μηχανικό Πληροφορικής για τους τεχνικούς ελέγχους, ανατέθηκε σε ιδιωτικό οίκο η διενέργεια δοκιμών διείσδυσης. 

Σύμφωνα με την έκθεση τού εν λόγω οίκου, αναφορικά με τη δοκιμή εξωτερικής διείσδυσης, η ΑΗΚ διαθέτει ικανοποιητικά αποτρεπτικά συστήματα προστασίας από πιθανές εξωτερικές διεισδύσεις και λαμβάνει ικανοποιητικά μέτρα για την αντιμετώπιση πιθανών κυβερνοεπιθέσεων, εντοπίστηκαν ωστόσο ορισμένες αδυναμίες, όπως η ανάγκη αναβάθμισης συγκεκριμένων λογισμικών συστημάτων και λήψης συγκεκριμένων βελτιωτικών μέτρων στο ηλεκτρονικό ταχυδρομείο.

Στη δοκιμή εσωτερικής διείσδυσης, υπάρχουν σε κάποιο βαθμό ασφαλιστικές δικλίδες που εμποδίζουν την εύκολη πρόσβαση στα λογισμικά συστήματα της Αρχής, διαπιστώθηκε ωστόσο ότι ορισμένα συστήματα και υπηρεσίες της πληροφορικής είναι ξεπερασμένα και, ως εκ τούτου, ευάλωτα σε πιθανές κυβερνοεπιθέσεις, και πρέπει να διορθωθούν ή να αναβαθμιστούν. 
Επίσης, εντοπίστηκαν, μεταξύ άλλων, αδυναμίες στους κωδικούς πρόσβασης που χρησιμοποιούνται για την πρόσβαση σε ορισμένα συστήματα και υπηρεσίες, καθώς επίσης στις πρακτικές που ακολουθούν τόσο οι χρήστες όσο και οι διαχειριστές όσον αφορά στον χειρισμό, την αποθήκευση και την ανταλλαγή κωδικών πρόσβασης.

Η Ελεγκτική Υπηρεσία συστήνει άμεσες ενέργειες με στόχο τη διασφάλιση της προστασίας των λογισμικών συστημάτων από πιθανές εξωτερικές και εσωτερικές απειλές. 

Ο πρόεδρος του δ.σ. της ΑΗΚ απάντησε ότι η Διεύθυνση Πληροφορικής του οργανισμού συμφωνεί με τα ευρήματα των δοκιμών, τα οποία ήδη αξιολογούνται και θα ιεραρχηθούν με σκοπό τον σχεδιασμό κατάλληλου προγράμματος για λήψη διορθωτικών μέτρων.
Τις υποψίες για τρύπες, ιδιαίτερα στα συστήματα ηλεκτρονικού ταχυδρομείου, έρχεται να εντείνει η υπόθεση ψηφιακής απάτης που αντιμετωπίζει η ΑΗΚ, όταν η Precision Iceblast Corporation Αμερικής, που είναι ανάδοχος έργου ύψους €371.032 στον Ηλεκτροπαραγωγικό Σταθμό Βασιλικού, ενημέρωσε τον οργανισμό ότι δεν είχε παραλάβει σχετικά εμβάσματα και υπήρξε υποψία για κακόβουλη χρήση του ηλεκτρονικού ταχυδρομείου της εταιρείας από χάκερ, με το ενδεχόμενο τα εμβάσματα να μην είχαν σταλεί από την Αρχή στον νόμιμο λογαριασμό, κάτι για το οποίο ενημερώθηκε τηλεφωνικά και το Τμήμα Ανιχνεύσεως Εγκλημάτων της Αστυνομίας. 

Έστειλαν σε χάκερ €235.000
Η ΑΗΚ στις 9/3/2018 πραγματοποίησε έμβασμα ύψους €10.000 –ήταν η προκαταβολή για το έργο– στον τραπεζικό λογαριασμό της εταιρείας στις ΗΠΑ. Επίσης, ενημέρωσε την εταιρεία ότι μια μέρα πριν το έμβασμα είχε λάβει ηλεκτρονικό μήνυμα από αυτήν, με το οποίο ζητούσε να μη γίνει οποιαδήποτε πληρωμή, μέχρι να δοθεί καινούργιος τραπεζικός λογαριασμός. Έστειλαν νέο λογαριασμό με τη σχετική εξουσιοδότηση και τη σφραγίδα της εταιρείας, όπως ζήτησε η ΑΗΚ. Την ίδια ημέρα, η ΑΗΚ προχώρησε με την πληρωμή του δεύτερου τιμολογίου, ποσού ύψους €129.861 (35% του συμβολαίου), στον νέο τραπεζικό λογαριασμό της εταιρείας στις ΗΠΑ και ακολούθως στις 20/3/2018 με την πληρωμή του τρίτου τιμολογίου αξίας €96.468 (26% του συμβολαίου), στον τραπεζικό λογαριασμό της εταιρείας στο Χονγκ Κονγκ, τα στοιχεία του οποίου αναγράφονταν στο τιμολόγιο. Όπως επίσης αναφέρεται, η ημερομηνία πληρωμής του τρίτου τιμολογίου ήταν η 19/4/2018, ωστόσο πληρώθηκε ενωρίτερα, κατόπιν ηλεκτρονικού μηνύματος της εταιρείας για επίσπευση της πληρωμής με γραπτή δέσμευση ότι στο επόμενο τιμολόγιο θα δινόταν 5% έκπτωση.

Οι εξουσιοδοτήσεις για την κατάθεση των ποσών σε άλλους λογαριασμούς δεν ήταν σε πρωτότυπη μορφή ούτε παραλήφθηκαν με ταχυμεταφορέα όπως γίνεται με τα τιμολόγια, σύμφωνα με σχετικό όρο της σύμβασης. 

Μετά από ελέγχους στα συστήματα ασφαλείας διαδικτύου του οργανισμού, από λειτουργό της Διεύθυνσης Πληροφορικής της ΑΗΚ, ειδικού για θέματα ασφάλειας, δεν διαφάνηκε οποιαδήποτε παραβίαση ή μη εξουσιοδοτημένη χρήση συστημάτων της και διαπιστώθηκε ότι η εξαπάτηση έγινε μέσω ηλεκτρονικού ταχυδρομείου. Τα συγκεκριμένα μηνύματα, δεν μπλοκαρίστηκαν καθώς επρόκειτο για αποστολέα ο οποίος θεωρείται νόμιμος. Έτσι, θεωρήθηκε ότι ο χάκερ είχε παράνομη πρόσβαση στο ηλεκτρονικό ταχυδρομείο του νόμιμου εκπροσώπου της εταιρείας.

Ωστόσο, οι εκπρόσωποι της εταιρείας παρουσίασαν στην ΑΗΚ ηλεκτρονικά μηνύματα, τα οποία τους είχαν σταλεί φαινομενικά από το ηλεκτρονικό ταχυδρομείο του συντονιστή της ΑΗΚ, γεγονός που υποδηλώνει ότι ο χάκερ είχε ενδεχομένως παράνομη πρόσβαση και στο ηλεκτρονικό ταχυδρομείο του συντονιστή της σύμβασης, δηλαδή της ΑΗΚ.

Δεν της βγαίνουν οι πάσσαλοι

Ξινοί βγαίνουν στην ΑΗΚ οι διαγωνισμοί για τους ξύλινους πασσάλους, αφού πέραν του γνωστού σκανδάλου της περασμένης δεκαετίας με τους ακατάλληλους πασσάλους, που ακόμα πληρώνει ο οργανισμός για αντικατάστασή τους, ο νέος διαγωνισμός –με εκτιμώμενο κόστος €7.645.000– κατέληξε σε δύο έγκυρες προσφορές, που προέρχονται όμως από έναν μόνο προσφοροδότη. Μια τρίτη προσφορά δεν είχε εγγυητική συμμετοχής και απορρίφθηκε. Έτσι, η ΑΗΚ αποφάσισε την κατακύρωση του διαγωνισμού στη χαμηλότερη προσφορά από τις δύο έγκυρες προσφορές που υπέβαλε ο προσφοροδότης που παρέμεινε στον διαγωνισμό έναντι ποσού €6.848.500. Ψάξτε τους λόγους, είναι πολλά τα λεφτά, δείτε τους όρους, ώστε να μην είναι τόσο περιορισμένη η διεκδίκηση, συστήνει η Ελεγκτική Υπηρεσία. Λίγοι φτιάχνουν τέτοιους πασσάλους, σχολιάζει ο πρόεδρος της ΑΗΚ. 

(του Πέτρου Θεοχαρίδη, Φιλελεύθερος)